下列步驟可協助建立條件式存取原則,以限制在組織內使用 裝置程式碼流程 和 驗證傳輸 的方式。
裝置程式碼流程原則
注意
為了增強安全性態勢,Microsoft 建議盡可能封鎖或限制裝置程式碼流程。
您應該一律從在 僅限報表模式 中設定原則開始,以判斷對您組織的潛在影響。
我們建議組織盡可能對裝置程式碼流程進行單方面封鎖。 組織應考慮建立原則來稽核目前使用中的裝置程式碼流程,並判斷它是否仍有必要。
對於尚未使用裝置程式碼流程的組織,可以使用下列條件式存取原則來完成封鎖:
- 以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>條件式存取>策略。
- 選取 新增政策。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 底下,選取您想要納入原則範圍的使用者 (建議選取 [所有使用者])。
- 在 [排除] 底下:
- 選取 使用者和群組,然後選擇貴組織的緊急存取或緊急帳戶,以及任何其他需要的使用者,此排除清單應定期稽核。
- 在 [目標資源>(原稱「雲端應用程式」)>包括] 下,選取您想要納入原則範圍的應用程式(建議使用『所有資源』(原稱『所有雲端應用程式』))。
- 在 [條件]>[驗證流程] 底下,將 [設定] 設定為 [是]。
- 選取 [裝置程式碼流程]。
- 選取 [完成]。
- 在 [存取控制]>[授與] 下,選取 [封鎖存取]。
- 選取 選取。
- 確認您的設定,並將 [啟用原則] 設為 [報告專用]。
- 選取 [建立] 以建立並啟用您的原則。
使用 原則影響或僅限報告模式確認您的設定之後,請將 [啟用原則] 切換從 [僅限報告] 移至 [ 開啟]。
驗證傳輸原則
使用條件式存取中的 驗證流程 條件來管理此功能。 如果您不想讓使用者將驗證從計算機傳輸至行動裝置,您可能會想要封鎖 驗證傳輸 。 例如,如果您不允許特定群組在個人裝置上使用 Outlook。 可以使用下列條件式存取原則來封鎖驗證傳輸:
- 以至少條件式存取系統管理員身分登入 Microsoft Entra 系統管理中心。
- 流覽至 Entra ID>條件式存取>策略。
- 選取 新增政策。
- 在 [指派] 底下,選取 [使用者] 或 [工作負載識別]。
- 在 [包含] 下,選取 [所有使用者] 或您想要封鎖驗證傳輸的使用者群組。
- 在 [排除] 底下:
- 選取 使用者和群組,然後選擇貴組織的緊急存取或緊急帳戶,以及任何其他需要的使用者,此排除清單應定期稽核。
- 在 [目標資源(先前稱為雲端應用程式)包含] 下,選取 [所有資源](先前稱為所有雲端應用程式)或您想要封鎖以進行驗證傳輸的應用程式。
- 在 [條件]>[驗證流程] 底下,將 [設定] 設定為 [是]
- 選取 [驗證傳輸]。
- 選取 [完成]。
- 在 [存取控制]>[授與] 下,選取 [封鎖存取]。
- 選取 選取。
- 確認設定,並將 [啟用原則] 設定為 [啟用]。
- 選取 [建立] 以建立並啟用您的原則。